信息系统审计案例（通过IT审计前置方案案例看企业信息化建设）

第一部分 信息化项目审计方法

针对某集团提供的总部及所属公司已建、在建的信息化项目名录，以及总部下发的***号通知文件。检查核对各信息化系统、平台是否达到预期或设计目标，是否满足生产管理经营的需求、运行是否安全稳定、数据和网络是否安全可控、是否兼容可扩展。

由于某集团的业务主要涉及有油料加注、储存、运输、监控、防火漏气监测等内容，其大部分信息化项目是基于PLC和DCS等的自动化控制和监测管理系统或平台，属于重要的关键信息基础设施，必需要满足《网络安全法》第三章“网络运行安全”中，以“关键信息基础设施的运行安全”共计9条（第三十一至三十九条）的对关键信息基础设施安全保护的基本要求。

根据某集团对信息化项目审计的目的和要求，针对其信息化系统或平台的特殊性，通过调研访谈具体信息化系统或平台的技术和业务负责人，了解信息化项目建设的背景、需求、目的、实施运行状况效果，以及技术实现方案、功能架构、技术架构、业务架构、安全架构、部署架构、容灾方案等内容，通过查看调阅相关系统或平台的设计文档、运行数据、日志记录、功能实现、应急预案等内容，评估信息化项目建设、运行、维保阶段的费用支出的有效性，合理性，项目运行的安全性、可靠性、稳定性、扩展性等内容。

抽查信息化项目建设全生命周期内的相关配套文档资源是否完备，信息化项目建设过程是否有完整科学的管理控制手段，信息化项目运行期间的数据是否完整、生产数据和消费数据是否一致等内容。

通过对信息化项目调研数据的抽样整理，问题的分析归纳以及必要的穿行测试，总结各所属公司信息化项目存在的核心问题，差异性问题以及共性问题。提出针对性可执行的改进建议，旨在促使信息化项目更有效地发挥关键作用，降低企业生产、经营方面的风险、从而提高效率、降低成本、增强企业管理能力。

IT审计工作主要覆盖的内容和流程如下：

图1 IT审计内容

图2 IT审计工作流程

第二部分 信息化项目审计重点

根据某集团总部及所属公司提供的相关信息项目的招标文件、信息项目建设方案、功能需求说明书以及信息化项目费用清单，在对功能需求的必要分析研究，以及对市场同类产品价格调研的基础上，结合工控自动化行业产品市场的价格体系，对相关信息化项目的费用进行核查，对承建方的人员投入、周期、工作量等也会做必要的评估，检查信息化项目建设结果与实际需求的匹配度。核查过程中既会考虑市场价格的波动变化、区域性人力成本差异、项目预算等因素。也会考虑接口开发等的工作量、多方协调、多设备等复杂因素的影响。同时也会对信息化项目承建方的合理利润诉求进行合理考虑。

抽样核查信息化项目所依赖的数据库、存储、操作系统等IT资产和服务器、网络设备、存储设备、控制设备等硬件资源是否完备、有效合理；核查核心数据和用户数据的备份、还原机制、业务负载、监控、容错和冗余以及业务持续服务能力支撑是否具备；核查研发、测试、运维、发布等环境的隔离、权责、安全和可靠性、稳定性等的管理是否完整有效；核查业务生产、监控等数据在产生、传输、归档、销毁全过程的管理和运维，是否已经做到可审计和可追溯；核查信息化项目建设和管理的规章制度和人员建设，避免因IT管理制度不完善和人员管理滞后，影响企业业务发展或对业务造成不必要的损害。

抽样核查信息化项目建设所依赖的系统、软件、中间件、硬件、单片机、数据库、网络设备、传感设备、核心部件等关键资源的产品供应商、型号、版本等信息，检查是否存在产品授权、知识产权、开源协议、他国出口管制技术等方面的限制，同等条件下是否采用了成熟的国产化替代产品；产品服务商的服务协议和内容及其管理办法是否符合供应链安全防护的要求。

抽样核查业务数据备份、恢复和可用性机制，敏感数据的脱敏和加密，数据防篡改、越权访问和泄露等是否完备；密钥的生成、分发、销毁，密码算法的模式选择和强度，数据在生产、传输、存储等环节的数据安全防护；物理机房设备安全、供电安全、物理接口控制安全、设备访问控制安全等防护措施；是否具有防APT攻击、防钓鱼、防入侵、防病毒等的设备和能力；是否具有信息安全应急响应机制和突发应急事件处理预案；是否具有完善的信息安全管理制度、信息安全培训机制和相应的信息安全保密教育措施。

第三部分 IT审计规划

当前我们所指的IT审计主要是信息系统审计，采用客观的标准对信息系统的立项、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。主要内容有支持财审的ITAC（IT应用控制）审计，是对一些具体余额的认定进行审计；以及ITGC（IT一般控制），主要是对IT的治理和组织架构、系统开发变更、操作系统与数据库控制、应用系统控制、接口与信息安全、业务连续性与灾难恢复计划等方面的审计。

目前我国实行IT审计的企业并不多，仅在一些大型金融类和电信运营商类企业有IT审计业务，IT审计的标准、制度、人才等和发达国家存在巨大差距。国内会计事务所有能力进行IT审计业务的更是寥寥无几。但随着我国数字化，信息化水平越来越高，IT审计将会成为企业的必选项。

同时传统的IT审计手段和工具效率低下，业务覆盖率小，无法真实全貌的展现出企业的实际经营状况。往往也是局限于事后审计，无法在事前、事中、事后进行合理有效的审计，无法为企业决策和内部控制提供有效的支撑。

随着企业信息化，数字化的高速发展，企业在成长过程中，逐步建立起了各种类型，不同架构体系的应用系统或平台，信息系统的庞杂给IT审计带来了诸多不便，逐步形成了信息孤岛，ITAC审计工变得尤为不畅，穿行测试和数据抽样的覆盖率，完整性、准确性等都会受到很大的影响。因此建议未来ITAC审计工作可以借助理念成熟、先进的大数据分析、人工智能等技术手段或工具。通过在信息系统中进行必要的业务埋点，借助RPA、机器学习、人工智能等技术实现数据自动实时采集，事前、事中、事后的全方位、全流程，多维度的监控和审计，满足企业生产经营决策的管理需求。

图3 IT审计规划

图3 IT审计最佳实践